Параметризованные запросы с помощью psycopg2 / Python DB-API и PostgreSQL

psycopg2 следует правилам DB-API 2.0 (изложенным в PEP-249 ). Это означает, что вы можете вызвать execute метод из своего cursor объекта и использовать pyformat стиль привязки, и он выполнит экранирование за вас. Например, следующее должно быть безопасным (и работать):

cursor.execute("SELECT * FROM student WHERE last_name = %(lname)s", 
               {"lname": "Robert'); DROP TABLE students;--"})

Из документации psycopg

(http://initd.org/psycopg/docs/usage.html)

Предупреждение Никогда, никогда, НИКОГДА не используйте конкатенацию строк Python (+) или интерполяцию строковых параметров (%) для передачи переменных в строку запроса SQL. Даже под дулом пистолета.

Правильный способ передачи переменных в команде SQL - использовать второй аргумент метода execute ():

SQL = "INSERT INTO authors (name) VALUES (%s);" # Note: no quotes

data = ("O'Reilly", )

cur.execute(SQL, data) # Note: no % operator

Вот несколько примеров, которые могут оказаться полезными

cursor.execute('SELECT * from table where id = %(some_id)d', {'some_id': 1234})

Или вы можете динамически построить свой запрос на основе имени поля, значения:

fields = ', '.join(my_dict.keys())
values = ', '.join(['%%(%s)s' % x for x in my_dict])
query = 'INSERT INTO some_table (%s) VALUES (%s)' % (fields, values)
cursor.execute(query, my_dict)

Примечание: поля должны быть определены в вашем коде, а не вводимых пользователем данных, иначе вы будете подвержены SQL-инъекции.